發布。近日,盤古實驗室對外披露了zipperdown漏洞,該漏洞是盤古團隊針對不同客戶的ios應用安全審計的過程中發現的,大約有10%的ios應用會受到此漏洞的影響。
zipperdown獲得大量**聚焦的同時,也吸引了大量不法分子的目光,一場安全風暴隱約即將到來。
那如何防止zipperdown漏洞帶來的破壞呢?網易雲易盾安全專家結合目前披露的資訊以及自己的分析,給出了如下分析和建議:
漏洞原理
這個漏洞不禁讓易盾聯想到不久前android平台上的unzip解壓檔案漏洞,和這個漏洞幾乎是完全一樣,只是平台和第三方解壓庫不同而已。android平台上的被稱為unzip解壓檔案漏洞,網易雲易盾安全檢測平台已經可以實現掃瞄檢測。
修復建議
開發中在使用第三方解壓庫對zip檔案解壓過程中,要對zip內部檔名進行「../」過濾,另外存放關鍵資料的檔案如hotpatch記得進行加密、合法性和完整性校驗,使用https安全傳輸協議通訊等,也可以購買易盾的通訊協議加密sdk(點選「閱讀原文」,可一鍵接入),做到最大程度的防範。
總結
攻擊條件:
使用了第三方解壓庫。
zip包在解壓時沒有做完整性校驗。
連線不可靠的wifi熱點進行通訊。
網易雲易盾為您提供ios 應用加固、android 應用加固服務,歡迎免費點選試用。
了解 網易雲 :
網易雲官網:
新使用者大禮包:gift
網易雲社群:
給10億使用者吃定心丸,支付寶宣布賬戶安全險免費
程式設計客棧 www.cppcns.com 8月28日 訊息 8 月28日,支付寶宣布賬戶安全保障體系全面公升級 每位使用者均可一鍵免費領取賬戶安全險,最高可保 500 萬,這也是全球首個針對億級使用者免費的賬戶安全保險。推動這一創舉的支付寶安全實驗室,也在北京舉行的2019年網路安全生態峰會上首次...